7
Bintec ipv6
Hallo!
Vielleicht bin sich spät dran, aber ich wollte meinen Bintec rs123 jetzt auch mit ipv6 nutzen.
Für DSL habe ich schon ipv6 aktiv, neben der ipv4-Adresse sehe ich noch ein ipv6 /64.
Von einem Internethost aus, wollte ich nun testweise den Router pingen, das klappte nicht.
Schuld ist da der Modus für das "feindselige Netz" für das DSL-Dialup. Kann man abstellen, ich wollte aber eine Firewallregel.
Dazu habe ich erstmal einen Dienst icmp v6 angelegt und dann ein ANY für IPv6 als Quelle. Das Ziel war WAN_TELEKOM für die Regel. Bringt aber nichts, wird immer noch geblockt.
Der Test sollte die Vorbereitung sein für späteres Portmapping von Ipv6 aus ins interne Ipv4-Netz.
Später dann routbare ipv6 Netze.
Was muss ich einstellen, damit der Router über ipv6 erreichbar wird?
Vielleicht bin sich spät dran, aber ich wollte meinen Bintec rs123 jetzt auch mit ipv6 nutzen.
Für DSL habe ich schon ipv6 aktiv, neben der ipv4-Adresse sehe ich noch ein ipv6 /64.
Von einem Internethost aus, wollte ich nun testweise den Router pingen, das klappte nicht.
Schuld ist da der Modus für das "feindselige Netz" für das DSL-Dialup. Kann man abstellen, ich wollte aber eine Firewallregel.
Dazu habe ich erstmal einen Dienst icmp v6 angelegt und dann ein ANY für IPv6 als Quelle. Das Ziel war WAN_TELEKOM für die Regel. Bringt aber nichts, wird immer noch geblockt.
Der Test sollte die Vorbereitung sein für späteres Portmapping von Ipv6 aus ins interne Ipv4-Netz.
Später dann routbare ipv6 Netze.
Was muss ich einstellen, damit der Router über ipv6 erreichbar wird?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668559
Url: https://administrator.de/contentid/668559
Ausgedruckt am: 03.10.2024 um 06:10 Uhr
7 Kommentare
Neuester Kommentar
Zu aller erst, es ist ein großer Unterschied ob der Router für sich selbst eine IPv6 "Adresse" per DHCPv6 bezieht oder nur ein "Prefix" das er nur an seine internen Interfaces per Prefix Delegation weitergibt. Beides geht auch gleichzeitig, oder auch einzeln. Beide Adressbereiche müssen sich dabei auch nicht zwingend überschneiden, im Gegenteil, diese sind meist aus unterschiedlichen Subnetzen.
Das solltest du also als erstes prüfen ob du da ein "Prefix" pingst der keinem Device zugeordnet ist oder eine echte globale IPv6 Adresse an dem der Router selbst erreichbar ist.
Dann gilt es entweder über eine separate Firewall-Option ICMPv6 am WAN freizugeben oder wenn es eine solche Option nicht gibt, eine Firewall Regel anzulegen.
Dabei gilt es unbedingt zu beachten das ICMP ungleich ICMPv6 ist!!
Die Regel muss also generell so gestaltet sein
QUELLE: ANY
ZONE: WAN
ZIEL: IPv6 Adresse des Routers am WAN
PROTOKOLL: ICMPv6
ICMPv6 Option: echo-request (Type 128)
ACTION: ACCESS
Wenn man dagegen IPv6 Hosts hinter der Firewall per ICMPv6 erreichbar machen will kommt die Regel natürlich in die Forward Chain und nicht in die Input-Chain und die Zieladresse ist das 64er Subnetz das der Router dem internen Interface via Prefix Delegation zugewiesen hat.
Was viele nicht wissen ist, das ICMPv6 ganz anders als bei IPv4 maßgeblich für eine erfolgreiche Kommunikation von Geräten untereinander zwingend notwendig ist, da hierüber auch die Neighbor Discovery und Router Announcements laufen!
Wenn man also ICMPv6 komplett mit allen ICMPv6 Optionen ohne Auśnahme in der Forward- oder Input-Chain der Firewall blockiert macht man sich auch die IPv6 Kommunikation kaputt.
Grundlage wie immer hier zu empfehlen bevor man sich ans Werk macht
https://danrl.com/ipv6/
https://de.m.wikipedia.org/wiki/ICMPv6
https://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xht ...
Das solltest du also als erstes prüfen ob du da ein "Prefix" pingst der keinem Device zugeordnet ist oder eine echte globale IPv6 Adresse an dem der Router selbst erreichbar ist.
Dann gilt es entweder über eine separate Firewall-Option ICMPv6 am WAN freizugeben oder wenn es eine solche Option nicht gibt, eine Firewall Regel anzulegen.
Dabei gilt es unbedingt zu beachten das ICMP ungleich ICMPv6 ist!!
Die Regel muss also generell so gestaltet sein
QUELLE: ANY
ZONE: WAN
ZIEL: IPv6 Adresse des Routers am WAN
PROTOKOLL: ICMPv6
ICMPv6 Option: echo-request (Type 128)
ACTION: ACCESS
Wenn man dagegen IPv6 Hosts hinter der Firewall per ICMPv6 erreichbar machen will kommt die Regel natürlich in die Forward Chain und nicht in die Input-Chain und die Zieladresse ist das 64er Subnetz das der Router dem internen Interface via Prefix Delegation zugewiesen hat.
Was viele nicht wissen ist, das ICMPv6 ganz anders als bei IPv4 maßgeblich für eine erfolgreiche Kommunikation von Geräten untereinander zwingend notwendig ist, da hierüber auch die Neighbor Discovery und Router Announcements laufen!
Wenn man also ICMPv6 komplett mit allen ICMPv6 Optionen ohne Auśnahme in der Forward- oder Input-Chain der Firewall blockiert macht man sich auch die IPv6 Kommunikation kaputt.
Grundlage wie immer hier zu empfehlen bevor man sich ans Werk macht
https://danrl.com/ipv6/
https://de.m.wikipedia.org/wiki/ICMPv6
https://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xht ...
1
Hallo,
Gruss,
Peter
Zitat von @Harald99:
Von einem Internethost aus, wollte ich nun testweise den Router pingen, das klappte nicht.
Ping am testenden Rechner kaputt, oder wie ist die erhaltene Rückmeldung? Du bekommst beim PING immer eine Rückmeldung, wie genau lautet diese? Oder was klappt bei dir nicht?Von einem Internethost aus, wollte ich nun testweise den Router pingen, das klappte nicht.
Schuld ist da der Modus für das "feindselige Netz"
Was ist ein "feindselige Netz"?Was muss ich einstellen, damit der Router über ipv6 erreichbar wird?
Sofern Bintec es vorgesehen hat die rs123 auf Pings (ICMP) am WAN antworten lassen. Handbuch lesen hilft. https://archive.bintec-elmeg.com/files/Router/bintec_RS_Series/archive_s ...Gruss,
Peter
Zitat von @Ted555:
Zu aller erst, es ist ein großer Unterschied ob der Router für sich selbst eine IPv6 "Adresse" per DHCPv6 bezieht oder nur ein "Prefix" das er nur an seine internen Interfaces per Prefix Delegation weitergibt. Beides geht auch gleichzeitig, oder auch einzeln. Beide Adressbereiche müssen sich dabei auch nicht zwingend überschneiden, im Gegenteil, diese sind meist aus unterschiedlichen Subnetzen.
Das solltest du also als erstes prüfen ob du da ein "Prefix" pingst der keinem Device zugeordnet ist oder eine echte globale IPv6 Adresse an dem der Router selbst erreichbar ist.
Zu aller erst, es ist ein großer Unterschied ob der Router für sich selbst eine IPv6 "Adresse" per DHCPv6 bezieht oder nur ein "Prefix" das er nur an seine internen Interfaces per Prefix Delegation weitergibt. Beides geht auch gleichzeitig, oder auch einzeln. Beide Adressbereiche müssen sich dabei auch nicht zwingend überschneiden, im Gegenteil, diese sind meist aus unterschiedlichen Subnetzen.
Das solltest du also als erstes prüfen ob du da ein "Prefix" pingst der keinem Device zugeordnet ist oder eine echte globale IPv6 Adresse an dem der Router selbst erreichbar ist.
Er zeigt Host-Mode für ipv6 an. Einen Link-Prefix kann ich für WAN auch angeben.
Dann gilt es entweder über eine separate Firewall-Option ICMPv6 am WAN freizugeben oder wenn es eine solche Option nicht gibt, eine Firewall Regel anzulegen.
Dabei gilt es unbedingt zu beachten das ICMP ungleich ICMPv6 ist!!
Die Regel muss also generell so gestaltet sein
QUELLE: ANY
ZONE: WAN
ZIEL: IPv6 Adresse des Routers am WAN
PROTOKOLL: ICMPv6
ICMPv6 Option: echo-request (Type 128)
ACTION: ACCESS
Ich dachte, der Bintec könnte seine Adresse über die Schnittestelle ermitteln.
Wenn man dagegen IPv6 Hosts hinter der Firewall per ICMPv6 erreichbar machen will kommt die Regel natürlich in die Forward Chain und nicht in die Input-Chain und die Zieladresse ist das 64er Subnetz das der Router dem internen Interface via Prefix Delegation zugewiesen hat.
Kann es sein, dass du Bintec gar nicht kennst, sondern nur Linux?
Was viele nicht wissen ist, das ICMPv6 ganz anders als bei IPv4 maßgeblich für eine erfolgreiche Kommunikation von Geräten untereinander zwingend notwendig ist, da hierüber auch die Neighbor Discovery und Router Announcements laufen!
Wenn man also ICMPv6 komplett ohne Auśnahme in der Forward Chain der Firewall blockiert macht man sich auch die IPv6 Kommunikation kaputt.
Das gilt für icmp4 auch. Ich finds immer lustig, wenn Admins das einfach blocken.
1
Dann braucht's uns ja nicht mehr 😄.
Einfach ausprobieren und Testweise die IPv6 mal von Hand eintragen macht klug ...
Kann es sein, dass du Bintec gar nicht kennst, sondern nur Linux?
Da werkelt auch nur ein Linux im Unterbau, ist doch alles der selbe Kram, nur ne andere GUI drüber gestülpt ... Wenn man die Grundlagen unter Linux mit nftables und iptables auf der Konsole beherrscht ist das ja alles pille palle. Router ohne vernünftige CLI kommen mir eh nicht ins Haus, das ist nur was für Warmduscher 🤪. Bintec ist ja sowieso schon in den ewigen Jagdgründen...
Ich dachte, der Bintec könnte seine Adresse über die Schnittestelle ermitteln.
In Normalfall ja, kommt halt drauf an was du da genau auswählst, die Optionen habe ich leider nicht vorliegen.Einfach ausprobieren und Testweise die IPv6 mal von Hand eintragen macht klug ...
Kann es sein, dass du Bintec gar nicht kennst, sondern nur Linux?
1
Moin @Harald99,
ich fürchte schon, dass du mit der Bintec RS123 etwas spät dran bist.
Denn zum einen ist das Ding so richtig alt und wurde auch schon zu Lebzeiten von Bintec seit Jahren nicht mehr supportet und nun ist Bintec eh leider tot. 😔
https://bintec-elmeg.com/
😭
Hier zumindest noch ein funktionierender Link zu dem Handbuch.
https://archive.bintec-elmeg.com/files/Router/bintec_RS_Series/archive_s ...
Und hier der zu der aktuellsten Firmware anno 2015.
https://archive.bintec-elmeg.com/?dir=Files/Router/bintec_RS_Series/curr ...
Sprich ... downloade alles was du dazu noch downloaden kannst, falls du die Büchse doch noch länger betreiben möchtest, denn all zu lange wird das Archiv wahrscheinlich auch nicht mehr verfügbar sein. 😔
Gruss Alex
Vielleicht bin sich spät dran, aber ich wollte meinen Bintec rs123 jetzt auch mit ipv6 nutzen.
ich fürchte schon, dass du mit der Bintec RS123 etwas spät dran bist.
Denn zum einen ist das Ding so richtig alt und wurde auch schon zu Lebzeiten von Bintec seit Jahren nicht mehr supportet und nun ist Bintec eh leider tot. 😔
https://bintec-elmeg.com/
😭
Hier zumindest noch ein funktionierender Link zu dem Handbuch.
https://archive.bintec-elmeg.com/files/Router/bintec_RS_Series/archive_s ...
Und hier der zu der aktuellsten Firmware anno 2015.
https://archive.bintec-elmeg.com/?dir=Files/Router/bintec_RS_Series/curr ...
Sprich ... downloade alles was du dazu noch downloaden kannst, falls du die Büchse doch noch länger betreiben möchtest, denn all zu lange wird das Archiv wahrscheinlich auch nicht mehr verfügbar sein. 😔
Gruss Alex
Da werkelt auch nur ein Linux im Unterbau, ist doch alles der selbe Kram, nur ne andere GUI drüber gestülpt ... Wenn man die Grundlagen unter Linux mit nftables und iptables auf der Konsole beherrscht ist das ja alles pille palle. Router ohne vernünftige CLI kommen mir eh nicht ins Haus, das ist nur was für Warmduscher 🤪. Bintec ist ja sowieso schon in den ewigen Jagdgründen...
Nein, kein Linux und es hat wohl ein CLI.
Von den kommerz. Router mit WebGui bisher der beste.
Zitat von @MysticFoxDE:
Moin @Harald99,
ich fürchte schon, dass du mit der Bintec RS123 etwas spät dran bist.
Denn zum einen ist das Ding so richtig alt und wurde auch schon zu Lebzeiten von Bintec seit Jahren nicht mehr supportet und nun ist Bintec eh leider tot. 😔
Moin @Harald99,
Vielleicht bin sich spät dran, aber ich wollte meinen Bintec rs123 jetzt auch mit ipv6 nutzen.
ich fürchte schon, dass du mit der Bintec RS123 etwas spät dran bist.
Denn zum einen ist das Ding so richtig alt und wurde auch schon zu Lebzeiten von Bintec seit Jahren nicht mehr supportet und nun ist Bintec eh leider tot. 😔
Doch es gab noch vor einigen Wochen Updates:
https://archive.bintec-elmeg.com/?dir=Files/Router/bintec_RSxx3_Series/c ...
Aber in der Tat, der Laden ist pleite.
Ok, also ich ändere das Topic:
6x Gbit Linuxrouter gesucht
